wmtech logo

El malware Ande Loader apunta al sector manufacturero en América del Norte

Luis Quiles
Luis Quiles
malware ande loader
Ciber Ataque, Malware

El actor de amenazas conocido como Blind Eagle ha sido observado utilizando un malware de carga llamado Ande Loader para distribuir troyanos de acceso remoto (RATs) como Remcos RAT y NjRAT.

Los ataques, que adoptan la forma de correos electrónicos de phishing, se dirigieron a usuarios de habla hispana en la industria manufacturera con sede en América del Norte, según eSentire.

Blind Eagle (también conocido como APT-C-36) es un actor de amenazas motivado financieramente que tiene un historial de orquestar ataques cibernéticos contra entidades en Colombia y Ecuador para distribuir una variedad de RATs, incluidos AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT y Quasar RAT.

Los últimos hallazgos marcan una expansión del alcance del objetivo del actor de amenazas, al mismo tiempo que aprovechan correos electrónicos de phishing que contienen archivos RAR y BZ2 para activar la cadena de infección.

Los archivos RAR protegidos por contraseña vienen con un archivo malicioso de Visual Basic Script (VBScript) que es responsable de establecer la persistencia en la carpeta de inicio de Windows y de lanzar el Ande Loader, que a su vez carga la carga útil del Remcos RAT.

En una secuencia de ataque alternativa observada por la empresa de ciberseguridad canadiense, un archivo BZ2 que contiene un archivo VBScript se distribuye a través de un enlace de la red de entrega de contenido (CDN) de Discord. El malware Ande Loader, en este caso, deja caer NjRAT en lugar de Remcos RAT.

«El actor de amenazas Blind Eagle ha estado utilizando crypters escritos por Roda y Pjoao1578», dijo eSentire. «Uno de los crypters desarrollados por Roda tiene el servidor codificado que alberga ambos componentes del injector del crypter y malware adicional que se utilizó en la campaña de Blind Eagle».

server

Este desarrollo se produce mientras SonicWall arroja luz sobre el funcionamiento interno de otra familia de malware de carga llamada DBatLoader, detallando su uso de un controlador legítimo pero vulnerable asociado con el software RogueKiller AntiMalware (truesight.sys) para terminar las soluciones de seguridad como parte de un ataque de Traiga Su Propio Controlador Vulnerable (BYOVD, por sus siglas en inglés) y, en última instancia, entregar Remcos RAT.

«El malware se recibe dentro de un archivo como un adjunto de correo electrónico y está altamente ofuscado, conteniendo múltiples capas de datos de cifrado», señaló la empresa a principios de este mes.

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.